Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
 |  |  |  |  |  |  |  |  |  |
что именно? 16.05.11 21:42 Число просмотров: 1836
Автор: Den <Denis> Статус: The Elderman
|
|
<miscellaneous>
|
Как такое могло получиться. 12.05.11 05:19 [Ustin]
Автор: developertmp Статус: Незарегистрированный пользователь
|
Мой гуглевский акаунт был заблокирован. Гугл сообщал:
Verify your account
We've detected unusual activity on your account. To immediately restore access to your account, type your phone number below.
Когда их техсаппорт разблокировал мой аккаунт, то я увидел, что действительно с моего аккаунта была попытка разослать spam. Как такое возможно. Как кто-то мог знать мой пароль? Такой же пароль был только на LinkedIn (не факт что они не коллекцианируют плаин текст пасвордс). Оттуда добыли?
|
 |
может троянчик на каком нить компе с которого ходили на... 12.05.11 10:33
Автор: Killer{R} <Dmitry> Статус: Elderman
|
может троянчик на каком нить компе с которого ходили на гугл
|
 |  |
Вполне может и троян быть. Но как он может перехватить ввод... 13.05.11 06:45
Автор: developertmp Статус: Незарегистрированный пользователь
|
> может троянчик на каком нить компе с которого ходили на > гугл
Вполне может и троян быть. Но как он может перехватить ввод имени пользователя и пароль именно гугля? Кейлогер должен знать что я пошёл именно на гугль логиниться. Или кто-то управляет IE в момент гугль-аунтификации. Но всё же думаю, всё гораздо проще, например, с linkedIn могло что-то утечь . Сейчас это модно. Только и слышишь что об утечках. На linkedin аккаунт в точности совпадал с гуглевским.
|
 |  |  |
Очень просто 17.05.11 02:15
Автор: Killer{R} <Dmitry> Статус: Elderman Отредактировано 17.05.11 02:19 Количество правок: 2
|
> Вполне может и троян быть. Но как он может перехватить ввод > имени пользователя и пароль именно гугля? Кейлогер должен > знать что я пошёл именно на гугль логиниться. Или кто-то > управляет IE в момент гугль-аунтификации. Но всё же думаю, Очень просто. Способов перехвата вводимых юзером в браузере данных в т.ч. авторизации - уйма: хуки на уровне wininet API, browser helper object, банальный кейлоггер... Если сайт не https (или если вы не обращаете внимания на цвет и предупреждения индикатора "безопасности" соединения) к этому добавляются хуки на сокеты, LSP, TDI/NDIS inmermediate фильтры, трояны на других компах локалки с прокаченным скиллом ARP спуфинга... И это только сходу.
Еще больше способов - узнать на каком сайте ща юзер сидит - а именно способы теже самые + банальный GetWindowText с HWND address bar'а.
|
 |  |  |  |
На домашних компах я не могу сделать больше, чем делает... 17.05.11 04:13
Автор: developertmp Статус: Незарегистрированный пользователь
|
На домашних компах я не могу сделать больше, чем делает делает антивирусное ПО.
На работе - просто не возможно оценить на сколько окружение безлпасно. Скорее всего небезопасно.
|
 |  |  |
перехватывается всё подряд и отправляется владельцу трояна. 13.05.11 12:24
Автор: Den <Denis> Статус: The Elderman
|
далее простой визуальный анализ текстового файла.
на сколько велика вероятность того, что пользователь залезет в свой почтовый ящик в течении первых 5-ти мин. после логона?
|
 |  |  |  |
Я бы спросил, насколько вероятно, что пользователь авторизуется где-нибудь в первые 5 минут после логона? 13.05.11 13:16
Автор: Ustin <Ustin> Статус: Elderman Отредактировано 13.05.11 13:17 Количество правок: 1
|
И даже не логона (многие идут курить после включения компа), а начала активных действий
|
 |  |
А может кейлоггер или включенное сохранение пароля в инеткафе. 12.05.11 14:38
Автор: Fighter <Vladimir> Статус: Elderman
|
Или пользование общественным вайфаем...
|
 |  |  |
Даже если вайфай мониториться, всё проезжает по https. А вот... 13.05.11 06:53
Автор: developertmp Статус: Незарегистрированный пользователь
|
> Или пользование общественным вайфаем...
Даже если вайфай мониториться, всё проезжает по https. А вот наличие кейлогера более вероятно. На домашних компах - вряд ли. А на работе - больше чем возможно. Но всё равно вопрос - как кейлогер определяет, что нажатия связаны с логином и именно на гугл.
|
 |  |  |  |
Да, не обратил внимания что речь про гугл. 13.05.11 17:55
Автор: Fighter <Vladimir> Статус: Elderman
|
> > Или пользование общественным вайфаем... > > Даже если вайфай мониториться, всё проезжает по https. А Но, чисто теоретически), если вайфай полностью мониторится, то ничего не мешает перехватить все необходимое для дешифровки https-трафика. Прокси же как-то работают ;)
> вот наличие кейлогера более вероятно. На домашних компах - > вряд ли. А на работе - больше чем возможно. Но всё равно Есть еще куча возможностей: всякие расширения/надстройки браузера, приложения разных соцсетей,..
> вопрос - как кейлогер определяет, что нажатия связаны с > логином и именно на гугл.
|
 |  |  |  |  |
Что это сейчас уже так просто - взломать https зашифрованные... 14.05.11 02:24
Автор: developertmp Статус: Незарегистрированный пользователь
|
> > > Или пользование общественным вайфаем... > > > > Даже если вайфай мониториться, всё проезжает по https. > А > Но, чисто теоретически), если вайфай полностью мониторится, > то ничего не мешает перехватить все необходимое для > дешифровки https-трафика. Прокси же как-то работают ;) > > вот наличие кейлогера более вероятно. На домашних > компах - > > вряд ли. А на работе - больше чем возможно. Но всё > равно > Есть еще куча возможностей: всякие расширения/надстройки > браузера, приложения разных соцсетей,.. > > вопрос - как кейлогер определяет, что нажатия связаны > с > > логином и именно на гугл.
Что это сейчас уже так просто - взломать https зашифрованные данные? Пусть есть засниференный дамп и нам не жалко 1 года (имею ввиду ломать а не в тюрьме сидеть), положим.
|
 |  |  |  |  |  |  |
Буду ли я прав если скажу, что: 15.05.11 02:54
Автор: developertmp Статус: Незарегистрированный пользователь
|
> http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=4&m= > 161055 Буду ли я прав если скажу, что:
1) в моём случае не используетcя/не навязывается "ложный прокси сервер".
2) после того как установлено слединение с гугл-майл сервером, невозможно встать посередине и дешировывать трафик и перенаправлять его на гугл и обратно клиенту.
Если всё это так, то правильно ли я скажу, что расщифровка и перехват логина по этоу схеме невозможен.
О расшифровке же кусков промониториного https трафика, даже если предположить, что опонент даже и не снифит, а вообще имеет доступ к маршрутиризатору - я сомневаюсь. Зря сомневаюсь?
|
 |  |  |  |  |  |  |  |
интернет кафе с одним внешним ip, куки зевак в руках админа... идея ясна? 16.05.11 16:02
Автор: kstati <Евгений Борисов> Статус: Elderman
|
|
 |  |  |  |  |  |  |  |  |
это если результат функции пароля сохранен в куки 16.05.11 16:22
Автор: Den <Denis> Статус: The Elderman Отредактировано 16.05.11 16:26 Количество правок: 1
|
или если сессия еще не закрыта. но, опять же, с https канает только подмена сертификата
|
 |  |  |  |  |  |  |  |
1) Ложный прокси-сервер может стоять на гейте интернет-кафе и проч со всеми вытекающими; 2) Твоя ситуация возникла врядли по этой причине, но 3) Не стоит недооценивать оппонента :) 16.05.11 11:30
Автор: Ustin <Ustin> Статус: Elderman
|
|
 |  |  |  |  |  |  |  |  |
3) Не стоит недооценивать оппонента :) 16.05.11 19:02
Автор: developertmp Статус: Незарегистрированный пользователь
|
>> 3)Не стоит недооценивать оппонента....
Это да. Ведь как-то этож сделано...
|
 |  |  |  |  |  |  |  |  |  |
что именно? 16.05.11 21:42
Автор: Den <Denis> Статус: The Elderman
|
|
 |  |  |  |  |  |  |  |  |  |  |
Каким-то образом (скорее всего троян) пытались разослать... 17.05.11 04:17
Автор: developertmp Статус: Незарегистрированный пользователь
|
Каким-то образом (скорее всего троян) пытались разослать спам с моегл гугл акаунта.
|
 |  |  |  |  |  |  |  |  |  |  |  |
спамеры не ищут сложных путей. 17.05.11 12:39
Автор: Den <Denis> Статус: The Elderman
|
спамеры не ищут сложных путей.
если они могут инфицировать комп клавиатурным шпионом, им нет никакого смысла писать драйвер-прокси для перехвата, подмены сертификата и дешифровки/шифровки https сессии. тем более, что такой метод проканает только с крайне неопытным пользователем.
|
|
|